MPLS VPN技術(shù)在校園網(wǎng)中的應(yīng)用

黃宏杰

摘 要： 以MPLS VPN技術(shù)為基礎(chǔ)設(shè)計了一個基于IPSec和LDP FRR的，應(yīng)用于校園網(wǎng)的MPLS VPN，并對其中的體系結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、路由設(shè)計、規(guī)劃設(shè)計和安全技術(shù)部分進(jìn)行了詳細(xì)設(shè)計，最后利用MPLS快速重路由技術(shù) LDP FRR建設(shè)可靠的校園網(wǎng)。

關(guān)鍵詞： 多協(xié)議標(biāo)簽交換； 快速重路由技術(shù)； 互聯(lián)網(wǎng)安全協(xié)議； 虛擬專用網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2014）08-31-02

Application of MPLS VPN technology in campus network

Huang Hongjie

（Fujian Vocational College of Agriculture Information Technology Department， Fuzhou， Fujian 350119， China）

Abstract： In this paper， based on the MPLS VPN technique， a MPLS VPN based on IPSec and LDP FRR is designed and is widely applied in campus network. The system structure， network structure， routing design， planning design and safety technology are designed carefully. By using MPLS Fast ReRoute technology of LDP FRR， a reliable campus network is constructed.

Key words： MPLS VPN； LDP FRR； IPSec； VPN

0 引言

校園數(shù)字化現(xiàn)階段一般采用以MPLS VPN技術(shù)為基礎(chǔ)，構(gòu)建多業(yè)務(wù)分組承載平臺，同時對安全性要求較高的業(yè)務(wù)系統(tǒng)，通常全面部署IPSec VPN；對于可靠性要求較高的網(wǎng)絡(luò)環(huán)境，可選擇LDP FRR支持技術(shù)。本文綜合運(yùn)用其各自的優(yōu)點(diǎn)，進(jìn)行路由優(yōu)化技術(shù)應(yīng)用研究，以達(dá)其優(yōu)勢互補(bǔ)；運(yùn)用有效的網(wǎng)絡(luò)管理，真正實現(xiàn)安全可靠的業(yè)務(wù)隔離、靈活的路由機(jī)制，實現(xiàn)校園網(wǎng)設(shè)計的可用性、靈活性、擴(kuò)展性、安全性和可靠性。

1 MPLS VPN體系結(jié)構(gòu)

MPLS是多協(xié)議標(biāo)簽交換的簡稱，是一種第三層路由結(jié)合第二層屬性的交換技術(shù)，引入了基于標(biāo)簽的機(jī)制，它把路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)分開，由標(biāo)簽來規(guī)定一個分組通過網(wǎng)絡(luò)的路徑。MPLS網(wǎng)絡(luò)由核心部分的標(biāo)簽交換路由器（LSR）、邊緣部分的標(biāo)簽邊緣路由器（LER）組成。LSR的作用可以看作是ATM交換機(jī)與傳統(tǒng)路由器的結(jié)合，是由控制單元和交換單元組成；而LER主要用于分析IP包頭，決定相應(yīng)的傳送級別和標(biāo)簽交換路徑（LSP）[1]。

VPN虛擬專用網(wǎng)（Virtual Private NetWork）指的是在公共網(wǎng)絡(luò)上建立虛擬專用通信網(wǎng)絡(luò)，由若干不同的站點(diǎn)組成的集合。一個站點(diǎn)可以屬于不同的VPN，站點(diǎn)具有IP連通性，VPN間可以有控制地實現(xiàn)互訪與隔離。

MPLS VPN是一種以MPLS技術(shù)為核心的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，通過在網(wǎng)絡(luò)設(shè)備上利用傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)[2]。MPLS VPN一般采用多級網(wǎng)狀拓?fù)浣Y(jié)構(gòu)，MPLS VPN的體系結(jié)構(gòu)主要分成數(shù)據(jù)面和控制面。數(shù)據(jù)面定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程；控制面則定義了LSP的建立和VPN路由信息的分發(fā)過程[3]。MPLS VPN利用MPLS實現(xiàn)數(shù)據(jù)在各VPN站點(diǎn)間的轉(zhuǎn)發(fā)， 同時結(jié)合BGP技術(shù)在運(yùn)營商骨干網(wǎng)中發(fā)布VPN路由信息。

2 MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)

我們將校園網(wǎng)規(guī)劃成骨干、核心、匯聚和接入等四層的層次化結(jié)構(gòu)模式，核心層與骨干層為網(wǎng)狀拓?fù)洌商岣咴O(shè)備的冗余度，確保網(wǎng)絡(luò)具有優(yōu)良的可靠性。校園網(wǎng)主要分為辦公教學(xué)區(qū)、學(xué)生宿舍區(qū)、校園網(wǎng)信息中心區(qū)和分校區(qū)等四大區(qū)域。在各個區(qū)域內(nèi)采用雙核心架設(shè)，相互之間通過多路光纖聯(lián)接，鏈路帶寬達(dá)十萬或萬兆；匯聚層面通過雙鏈路方式接入該區(qū)域的雙核心架設(shè)，鏈路帶寬萬兆或千兆；各個匯聚節(jié)點(diǎn)下的接入層面有相當(dāng)數(shù)量接入交換機(jī)，鏈路帶寬為千兆或百兆，用來滿足全校師生員工的上網(wǎng)需求。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

3 MPLS VPN路由設(shè)計

MPLS VPN數(shù)據(jù)流與公共網(wǎng)絡(luò)（如：教育網(wǎng)和因特網(wǎng)等）數(shù)據(jù)流相隔離，其中VPN數(shù)據(jù)流在校園網(wǎng)上采用標(biāo)記交換，而公共網(wǎng)絡(luò)數(shù)據(jù)流則采用IP路由/轉(zhuǎn)發(fā)。在校園MPLS骨干網(wǎng)絡(luò)中使用標(biāo)簽分發(fā)協(xié)議（Label Distribute Protocol，LDP），實現(xiàn)標(biāo)記從校園網(wǎng)的一個邊緣區(qū)域交換到另一邊緣區(qū)域。當(dāng)前只對VPN數(shù)據(jù)流進(jìn)行標(biāo)記交換，公共網(wǎng)絡(luò)數(shù)據(jù)流則以常規(guī)IP路由進(jìn)行轉(zhuǎn)發(fā)。

路由協(xié)議的應(yīng)用，在MPLS VPN的網(wǎng)絡(luò)中分為三個層面：骨干層MPLS、PE與CE互聯(lián)、CE以下內(nèi)部網(wǎng)絡(luò)。對于骨干層MPLS，需要IGP協(xié)議與MP-BGP結(jié)合使用，IGP協(xié)議主要用在保證內(nèi)部PE之間的連通性，MP-BGP協(xié)議主要完成指定并分發(fā)MPLS標(biāo)簽，各區(qū)CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MP-BGP協(xié)議的擴(kuò)展屬性實現(xiàn)的；CE路由器和PE路由器物理連接后，它還必須能夠與ISP交換路由信息，CE路由器和PE路由器之間的連接可使用各種路由協(xié)議；對于CE以下的內(nèi)部網(wǎng)絡(luò)的路由協(xié)議完全保持原有網(wǎng)絡(luò)的相關(guān)協(xié)議即可，接入層通過默認(rèn)路由把流量引入?yún)R聚層。

總之，校園網(wǎng)建設(shè)中采用的路由策略為：設(shè)置一個自治域；MPLS骨干網(wǎng)的路由采用MP-BGP協(xié)議和OSPF協(xié)議；PE與CE互聯(lián)采用BGP協(xié)議和OSPF路由協(xié)議；CE以下內(nèi)部網(wǎng)絡(luò)采用OSPF協(xié)議[3]。

4 MPLS VPN規(guī)劃設(shè)計

校園網(wǎng)建設(shè)是一個復(fù)雜的系統(tǒng)工程，承載的是數(shù)據(jù)、語音、交換的網(wǎng)絡(luò)平臺和視頻等多種綜合業(yè)務(wù)系統(tǒng)。MPLS VPN的整體部署需要進(jìn)行規(guī)劃，是業(yè)務(wù)開展的要求，同時也是業(yè)務(wù)可持續(xù)發(fā)展的保證。MPLS VPN涉及業(yè)務(wù)的劃分、IP地址的規(guī)劃，VRF標(biāo)志，RD/RT等幾類網(wǎng)絡(luò)資源，這些資源與傳統(tǒng)的IP業(yè)務(wù)稍有不同，需要進(jìn)行合理的分配。

校園網(wǎng)代表性的業(yè)務(wù)系統(tǒng)有：辦公自動化系統(tǒng)、校園一卡通、教務(wù)管理系統(tǒng)、數(shù)字圖書館、財務(wù)管理系統(tǒng)和網(wǎng)絡(luò)信息中心等。根據(jù)各系統(tǒng)業(yè)務(wù)的不同，在校園網(wǎng)絡(luò)中建立各自的VPN。

VPN用戶通常都有自己的地址規(guī)劃和分配原則，由于采用MPLS作為骨干傳輸支撐平臺，可以允許用戶獨(dú)立設(shè)計IP地址。在為VPN用戶提供公共網(wǎng)絡(luò)訪問服務(wù)時，需要為用戶分配公共網(wǎng)絡(luò)IP地址，最為關(guān)鍵的是在現(xiàn)存IPv4骨干核心上實現(xiàn)IPv6的無縫實施。

VRF（VPN Routing and Forwarding）是一種虛擬化技術(shù)，允許在邏輯上把共享的網(wǎng)絡(luò)設(shè)備路由功能公開。每一個VRF可以看成是一臺虛擬的路由器，包括獨(dú)立路由表/轉(zhuǎn)發(fā)表、一組歸屬于這個VRF的接口集合和一組只用于本VRF的路由協(xié)議。VRF常與MPLS VPN一起使用，為VPN VRF選擇名稱時，在VRF名稱后加上業(yè)務(wù)名稱的英文的格式，中間下劃線連接[4]。

由于校園網(wǎng)絡(luò)的骨干和核心層的路由器數(shù)量不多，且路由基本固定。因此，校園網(wǎng)絡(luò)規(guī)劃為一個自治域即可滿足網(wǎng)絡(luò)路由規(guī)模的需求。私有AS號范圍為：64512-65535，可以在私有AS號范圍隨便選擇，支持路由區(qū)分RD和路由目標(biāo)RT的分配。路由區(qū)分RD對于路由器是無格式的，但是為了各個AS之間的互操作，規(guī)定了RD的格式。一般情況下采用RD格式為：ASN： XXX，其中ASN為2個字節(jié)，XXX子域為4個字節(jié)，資源非常充足。路由目標(biāo)RT定義了路由可以為哪些站點(diǎn)接受，以及PE設(shè)備可以接受哪些站點(diǎn)發(fā)來的路由。默認(rèn)情況下，為每個VPN分配一個惟一的RT。

5 MPLS VPN安全技術(shù)

MPLS VPN網(wǎng)絡(luò)的信息傳遞和處理分為控制、數(shù)據(jù)和管理三個層面[3]。在控制平面完成路由信息的交換和處理，建立并維護(hù)VPN路由表；在數(shù)據(jù)平面實現(xiàn)VPN用戶數(shù)據(jù)快速轉(zhuǎn)發(fā)；在管理平面完成設(shè)備的配置管理及相應(yīng)管理信息的傳遞功能。

MPLS VPN網(wǎng)絡(luò)安全的威脅來自三個層面：①在控制面，包括MPLS骨干網(wǎng)路由器協(xié)議的攻擊；②在數(shù)據(jù)面，包括公共網(wǎng)絡(luò)和服務(wù)器等的安全威脅；③在管理面，包括攻擊網(wǎng)絡(luò)設(shè)備、影響或破壞信息傳遞和網(wǎng)絡(luò)內(nèi)部信息泄漏等[5]。

針對存在安全威脅的三個層面，我們增加了相應(yīng)的安全措施：①控制平面的安全，包括保證路由信息傳遞的安全性以及路由的隔離，廣泛部署路由協(xié)議鄰居MD5認(rèn)證，包括CE-CE，PE-CE，PE- PE和P-Network；②數(shù)據(jù)平面安全，包括CE-PE、PE-PE和CE-CE的數(shù)據(jù)實施更加復(fù)雜的加密系統(tǒng)；③管理平面安全，包括網(wǎng)管控制系統(tǒng)、網(wǎng)管信息平臺和網(wǎng)管設(shè)備配置等[6]。

6 MPLS VPN可靠技術(shù)

目前為了滿足諸如像視頻會議這一類業(yè)務(wù)的靈活的實時應(yīng)用，必須對這些流量提供毫秒級的LSP保護(hù)能力。MPLS快速重路由技術(shù)（LDP FRR）通過主備標(biāo)簽技術(shù)完成網(wǎng)絡(luò)故障的50ms倒換功能，達(dá)到電信級網(wǎng)絡(luò)要求的50ms內(nèi)的保護(hù)切換，具有MPLS能力的IP網(wǎng)絡(luò)成為新一代的多業(yè)務(wù)承載平臺[7]。

隨著網(wǎng)絡(luò)通信業(yè)的發(fā)展，MPLS快速重路由技術(shù)也會更加的完善穩(wěn)定，給用戶帶來良好的網(wǎng)絡(luò)環(huán)境。快速重路由的優(yōu)勢除了可以提高保護(hù)恢復(fù)的速度外，通過有選擇地在網(wǎng)絡(luò)薄弱環(huán)節(jié)配置保護(hù)能力，避免了在可靠網(wǎng)絡(luò)重復(fù)保護(hù)、無謂消耗核心網(wǎng)絡(luò)資源。

7 結(jié)束語

綜上所述，MPLS VPN技術(shù)在校園網(wǎng)中的成功運(yùn)用，有利于把MPLS的高速交換、擴(kuò)展性，以及IPSec與LDP FRR的安全可靠性、易部署的優(yōu)勢發(fā)揮出來，設(shè)計出性能優(yōu)良的校園網(wǎng)。MPLS VPN技術(shù)在校園網(wǎng)的應(yīng)用中雖然還沒有得到全面推廣，但隨著信息化的高速發(fā)展，MPLS VPN必將為全面實施校園網(wǎng)建設(shè)作出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn)：

[1] http：//www.baike.com/wiki/MPLS

[2] Ayan B.Generalized Multi-protocol label switching：An overview of

signaling enhancements and recovery techniques. IEEE Communications Magazine，2001.39（7）：144-151

[3] 陳琳.基于MPLS的VPN技術(shù)在數(shù)字化校園中的運(yùn)用與研究[D].河

南理工大學(xué)碩士學(xué)位論文，2010.

[4] Ivan Pepelnjak，Jim Guichard著.盧澤新，朱培棟，齊寧譯.MPLS和

VPN體系結(jié)構(gòu)（第2卷）[M].人民郵電出版社，2004.

[5] Jim Guichard，CCIE#2069，F(xiàn)rancois Le Faucheur，Jean-Philippe

Vasseur著.陳武譯.MPLS網(wǎng)絡(luò)設(shè)計權(quán)威指南[M].人民郵電出版社，2012.

[6] Bound J，Pouffary Y，Chown T，et al. MPLS Enterprise Network

Analysis[Z].IETF draft，draft-ietf-v6ops-ent-anslysis-03，July 2005.

[7] Luc De Ghein，CCIE#1897著.陳麟帆，CCIE#15116譯.MPLS技術(shù)

構(gòu)架[M].人民郵電出版社，2012.